Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Múltiples vulnerabilidades en productos HPE

Fecha de publicación: 13/08/2018

Importancia: Alta

Recursos afectados:

  • HP 1810-24G Switch P.2.22 y anteriores
  • HP 1810-48G Switch PK.1.34 y anteriores
  • HP 1810-8 v2 Switch P.2.22 y anteriores
  • HPE 3PAR Service Processors, versiones anteriores a la SP-4.4.0.GA-110(MU7)
  • HPE 3PAR Service Processors, versiones anteriores a la SP-5.0.0.0-22913(GA)

Descripción:

Se ha detectado una vulnerabilidad en HPE OfficeConnect 1810 Switch Series que podría provocar la divulgación de información y múltiples vulnerabilidades en 3PAR Service Processor (SP) que podrían permitir la ejecución remota de código, la omisión de autenticación y la divulgación de información.

Solución:

  • Para HPE OfficeConnect 1810-8 y 1810-24 Switch Series actualizar a la P.2.23
  • Para HPE OfficeConnect 1810-48 Switch Series actualizar a la PK.1.35
  • Para HPE 3PAR Service Processors con versiones anteriores a la SP-4.4.0.GA-110(MU7) actualizar a la versión SP-4.4.0.GA-110(MU7). Adicionalmente, será necesario cambiar las contraseñas por defecto de las cuentas setupusr, spvar, 3parcust, cpmaint.
  • Para HPE 3PAR Service Processors con versiones anteriores a la SP-5.0.0.0-22913(GA) actualizar a la versión SP-5.0.0.0-22913(GA)

Detalle:

Las vulnerabilidades de severidad alta afectan a HPE 3PAR Service Processor (SP) y podrían permitir:

  • La omisión de autenticación. Se ha reservado el identificador CVE-2018-7095 para esta vulnerabilidad.
  • La ejecución remota de código. Se ha reservado el identificador CVE-2018-7096 para esta vulnerabilidad.
  • La divulgación de información local privilegiada. Se han reservado los identificadores CVE-2018-7099 y CVE-2018-7094 para esta vulnerabilidad.

Etiquetas: Actualización, HP, Vulnerabilidad